Sicherheitsbedenken wegen Microsoft Defender Download-Feature

[English]Microsoft hat dem Defender eine Möglichkeit spendiert, beliebige Dateien herunterzuladen. Diese Download-Funktion verursacht bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung.


Anzeige

Ich hatte den Hinweis auf die neue Funktion bereit die Tage bei den Kollegen von deskmodder.de im Beitrag Windows Defender (MpCmdRun.exe) als Download-Manager nutzen? Kein Problem gelesen. Mit dem Update des Defender auf die Version 4.18.2007.8-0 (Quelle Will Dormann) gibt es eine neue Funktion in der MpCmdRun.exe. Hacker mohammadaskar2 hat das Ganze durch Zufall gefunden und bezeichnet als Microsoft Malware Protection Command Line. Man kann den Befehl:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe  -DownloadFile -url <url> -path <local-path>

als Administrator verwenden, um eine beliebige Datei mit Windows Defender herunterzuladen. Microsoft hat Mitte August 2020 das Ganze in diesem Supportbeitrag beschrieben. Kollege Lawrence Abrams weist auf Bleeping Computer darauf hin, dass dies ein gefundenes Fressen für Malware-Autoren ist. Es ist ein erneuter Fall, bei dem legitime Betriebssystemdateien, die für böswillige Zwecke missbraucht werden können.

Das Ganze wird als Living-off-the-land-Binärdateien oder LOLBINs bezeichnet. Abrams schreibt, dass die Funktion mit dem Update auf Version 4.18.2007.9 oder 4.18.2009.9 eingeführt wurde. BleepingComputer konnte die resources.exe-Datei herunterladen, das WastedLocker Ransomware-Beispiel, das bei einem kürzlichen Garmin-Angriff verwendet wurde.


Anzeige

Bleibt nur zu hoffen, dass der Microsoft Defender alle bösartige Dateien erkennt, die mit MpCmdRun.exe heruntergeladen wurden. Das Problem, dass andere Virenschutzsoftware den Defender deaktiviert und so für diesen Angriff blind ist, dürfte langsam entschärft werden. Denn Microsoft will ja, dass der Defender in Windows nicht mehr abschaltbar ist (siehe Microsoft Defender unter Windows 10 nicht mehr abschaltbar). Der Fall zeigt wieder einmal, dass solche netten Features durchaus ihre Archillesferse haben können.

Ergänzung: Microsoft hat zu den Berichten, dass die Download-Funktion des Defender eine Schwachstelle sei, folgende Stellungnahme abgegeben (Quelle).

Despite these reports, Microsoft Defender antivirus and Microsoft Defender ATP will still protect customers from malware. These programs detect malicious files downloaded to the system through the antivirus file download feature.

Ist natürlich elegant ausgewichen, denn dies wurde niemals in Abrede gestellt.

Ergänzung: Das Feature wurde wieder ausgebaut, siehe Microsoft Defender Download-Feature wieder weg …


Anzeige

Dieser Beitrag wurde unter Software, Virenschutz abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Sicherheitsbedenken wegen Microsoft Defender Download-Feature

  1. Markus B. sagt:

    Hallo Günter,
    in der angegebenen CMD-Line ist dir ein Fehler unterlaufen:
    – in der Pfadangabe muss es "Platform" heissen, ein "t" zu viel.
    – vor der "-url" Option, muss noch der Paramter "-DownloadFile" angegeben werden

    Die richtige Eingabe würde lauten:
    C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe -DownloadFile -url -path

    Im übrigen blockt mir der (aktuelle) MS Windows Defender unter Windows 10 selbst den aufruf von "MpCmdRun.exe":

    Trojan:Win32/MpUtilAbuse.A
    Warnstufe: Schwerwiegend
    Status: Aktiv
    Datum: 06.09.2020 8:25
    Kategorie: Trojaner
    Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

    Vllt. kannst du die Infos noch im Beitrag korrigieren.

    Einen schönen Sonntag.

    Markus B.

  2. Hans Thölen sagt:

    Mit dem Microsoft Defender haben die Blindfische in Redmond endlich mal
    wieder was Positives herausgebracht. Jetzt müssen Diese aber auf schnellstem
    Wege Alles wieder selbst kaputtmachen. Es ist nicht zu glauben.

    • labludis sagt:

      Das ganze ist ziemlich übertrieben – mal wieder. Und einige sind dem auf den Leim gegangen, nennt man wohl Vorurteil – fragt sich, warum dann ein win-System überhaupt in Nutzung ist, Alternativen bestehen ja:
      Microsoft Defender: Vermeintliche Schwachstelle ist nur ein Sommerloch
      https://winfuture.de/news,118072.html

      • Günter Born sagt:

        Nett – die Leute von winfuture.de mögen sich doch mal kundig machen, welche Berechtigungen ein Browser und welche Berechtigungen MpCmdRun.exe haben. Im Übrigen weisen Sicherheitsexperten darauf hin, dass es EINE mögliche neue Schwachstelle ist. Von Sommerloch kann ich da wenig erkennen, so etwas gehört auf jeden Fall thematisiert.

        Den winfuture.de-Artikel hätte ich jetzt eher auf Click-Baiting und Sommerloch geschoben – alleine von der Titelgestaltung her. Ist aber nur mein persönlicher Eindruck.

  3. 1ST1 sagt:

    Ich verstehe es nicht… Da hat Windows für Updates einen eigenen Dienst, aber Sub-Funktionen bzw. Microsoft-eigene Anwendungen wie Defender, OneDrive und Teams müssen unbedingt ihren eigenen wget-Ersatz mit bringen. Ich frage mich, reden die einzelnen Abteilungen bei MS nicht mehr miteinander?

  4. Paul sagt:

    Microsoft Windows [Version 10.0.19041.450]
    wird der Befehl von der (admin) Commando Zeile geblockt.
    Also besteht nur die Gefahr für die, die den Defender durch ein Konkurrenzpodukt ersetzt haben?
    Denn ich glaube nicht, das MS das Execute-Recht auf "C:\ProgramData\Microsoft\Windows Defender\" entfernt hat, obwohl sie diese Programme ja im Moment nicht mehr brauchen.

    Achja, telnet hatte Windows auch einst…dem erging es genauso.

    • 1ST1 sagt:

      Bei mir wird der Befehl nicht geblockt. Oder hast du eine Enterprise-Lizenz und darin Applocker mit den Standardregeln aktiviert? Dann ist c:\programdata\* nicht mit drin.

      • Paul sagt:

        Das ist ein Windows Home.
        Ich hatte da mal für 3 Minuten den Ransomware schutz an.
        Aber dann funktioniertes nichts mehr und die Fehlermeldungen waren nicht hilfreich (kein Pfad zum bösen Fremd-exe, zu dem -natürlich- auch powershell gehört…)

        Es wird nicht das .exe gebockt!
        "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -SignatureUpdate
        funktioniert selbstverständlich.

        aber wehe das steht das Download drin.
        Interessant wie fein MS da unterscheiden kann…

        • 1ST1 sagt:

          Ich habe es auch an Win 10 2004 Home ausprobiert.

          • Paul sagt:

            Ja, das ist frisch auf 2004 Home geupgradet. Sozusagen mein "Opferrechner".

            Also:
            How-to-reproduce:
            Du hast den aktuelsten Patch level
            Du kannst MpCmdRun.exe mit der Option -dowmloadfile starten.
            Deine Zeile sieht wie ober aus, also ohne konkrete (funktionierende) Pfade/URLs?

            Wenn letzter Punkt, dann prüft MS die URLs…
            Aber andereseits sollte es ja möglich gewesen sein, malware herunterzuladen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.